WatchGuard Technologies Inc.

Utilisation abusive d’Internet dans l’entreprise :

comment garder le contrôle ?

Pierre Poggi

france@watchguard.com

Agenda

Internet dans l’entreprise

• Outil de communication et de progrès social

• Internet = de nouveaux risques pour l’entreprise

• Utilisation de l’accès au réseau et de la messagerie électronique pour

des fins personnelles

• Encadrer et limiter cette utilisation : outils juridiques et techniques

Garder le contrôle de ses flux

• Politique de sécurité / Changement de comportement des utilisateurs

• « Monitorer » et filtrer

• Inspection HTTPS : pour quoi faire ?

• Qui utilise la bande passante, avec quelles applications ?

• Un Botnet, c’est quoi ?

La Société

Fondée in 1996, HQ à Seattle, Washington

~500 employés

Pionnier dans l’appliance de sécurité (1996)

1ère société à utiliser les fonctions de proxies applicatifs transparent

(1997)

2006: rajout des fonctionnalités UTM (Unified Threat Management) sur

toute la gamme: Edge, Core, Peak.

Plus de 600,000 appliances déployées

Clients dans plus de 150 pays

Répartition des ventes mondiales

50% Americas (Canada, USA, South America)

38% EMEA

12% APAC

WatchGuard Security Solutions

XCS

Anti-Spam

Web Security

Data Loss Prevention

Encryption

Queue Replication

XTM

Firewall

VPN

Reputation Enabled

Defense

SpamBlocker

WebBlocker

Contrôle d’application

Gateway AV

Intrusion Prevention Service

SSL

Portail Applicatif SSL

Reverse Proxy OWA

Authentification forte

intégrée

Utilisation d’Internet au sein de l’entreprise

Rencontre entre deux univers divergents Internet : monde de liberté individuelle

Entreprise : monde de règlementations et de préservation des droits des tiers

L’employeur est responsable des agissements de ses salariés Responsabilité civile de l’employeur du fait de ses préposés (article 1384

alinéa 5 du Code civil)

Prérogatives du pouvoir de direction: Fixer les modalités d’usage d’Internet et des TIC

Mettre en place des dispositifs de surveillance

Contrôler et sanctionner les abus

Les Lois HADOPI entrent dans le cadre de cette gestion des risques

(Haute Autorité pour la diffusion des œuvres et la protection des droits sur Internet)

Utilisation d’Internet au sein de l’entreprise

Internet = de nouveaux risques pour l’entreprise

1. Utilisation de l’accès au réseau à des fins personnelles, en laissant des traces de l’entreprise

2. Encombrement de la bande passante

3. Mise en cause de la sécurité informatique (virus, malware, botnet)

4. Téléchargement illicite de fichiers

5. Utilisation de la messagerie électronique à des fins personnelles

6. Divulgation d’informations confidentielles

7. Diffamations et injures en ligne ….

Article 6 – Délit de négligences

« Obligation de surveillance par les usagers : toute personne

titulaire d'un accès à des services de communication au

public en ligne aura l'obligation de veiller à ce que cet accès

ne fasse pas l'objet d'une utilisation à des fins de

reproduction, de représentation, de mise à disposition ou de

communication au public d'œuvres ou d'objets protégés par

le droit d'auteur. »

Les recommandations adressées aux abonnés par la HADOPI les

informent sur l'offre légale en ligne, sur la date et l'heure des

usages illicites constatés et sur l'existence de moyens de

sécurisation

Mais pourtant !!!!

Je suis protégé

monsieur le juge !!

Changement de comportement

des utilisateurs

Que vont faire les particuliers qui auront peur de

télécharger de chez eux ???

La peur du gendarme.... et de la coupure de la

connexion Internet les pousseront à télécharger

sur leur lieu de travail

L’éducation des utilisateurs sera à la fois plus

importante et … plus inutile….

Les outils Anti Hadopi 2

Paradoxalement, Hadopi 2 vulgarise ces techniques plus ou

moins évoluées auprès du grand public :

Metro, Les Echos , NouvelObs, etc… !!!

http://fr.wikipedia.org/wiki/Loi_Création_et_Internet

Blog Linux Manua (les 10 antidotes anti-hadopi)

jusqu’au routeur anti hadopi…

UltraSurf

UltraSurf est un anonymizer de seconde génération (et gratuit…)

Plus besoin d’aller sur un site Web Proxy , le logiciel le fait

directement en SSL avec des adresses multiples et dynamiques

Trafic complètement encrypté via les ports ouverts (auto détection

des ports disponibles en sortie par le logiciel)

Classement en France (Février 2011)

Source : http://www.google.com/adplanner/static/top100countries/fr.html

Rank Site Unique Visitors (users) Reach Page Views 1 facebook.com 23,000,000 50.90% 44,000,000,000

3 youtube.com 16,000,000 35.30% 3,300,000,000

8 leboncoin.fr 9,000,000 19.70% 4,800,000,000

12 laredoute.fr 6,200,000 13.60% 400,000,000

15 dailymotion.com 5,600,000 12.30% 190,000,000

16 ebay.fr 5,600,000 12.20% 1,100,000,000

19 over-blog.com 5,100,000 11.10% 160,000,000

20 partypoker.fr 5,100,000 11.20% 61,000,000

21 blogspot.com 4,600,000 10.10% 120,000,000

22 cdiscount.com 4,600,000 10% 340,000,000

24 amazon.fr 3,800,000 8.30% 250,000,000

27 groupon.fr 3,800,000 8.30% 61,000,000

28 aufeminin.com 3,800,000 8.40% 130,000,000

30 priceminister.com 3,500,000 7.70% 170,000,000

34 deezer.com 3,100,000 6.90% 340,000,000

37 voyages-sncf.com 2,900,000 6.30% 210,000,000

40 3suisses.fr 2,600,000 5.80% 210,000,000

41 meteofrance.com 2,600,000 5.80% 97,000,000

45 megaupload.com 2,400,000 5.20% 110,000,000

50 rueducommerce.fr 2,400,000 5.20% 120,000,000

51 canalblog.com 2,400,000 5.20% 80,000,000

52 mozilla.com 2,300,000 5.10% 74,000,000

53 spartoo.com 2,200,000 4.80% 66,000,000

58 jeuxvideo.com 2,200,000 4.70% 170,000,000

59 hotmail.com 2,100,000 4.70% 61,000,000

60 pixmania.com 2,100,000 4.70% 88,000,000

61 lequipe.fr 2,100,000 4.70% 370,000,000

62 vente-privee.com 2,100,000 4.60% 410,000,000

63 lefigaro.fr 2,000,000 4.30% 80,000,000

64 sarenza.com 2,000,000 4.30% 98,000,000

65 viamichelin.fr 1,900,000 4.20% 37,000,000

66 marmiton.org 1,900,000 4.20% 73,000,000

88 jeux.fr 1,600,000 3.50% 190,000,000

96 seloger.com 1,500,000 3.20% 160,000,000

Filtrage des sites Web

Une première étape pour se protéger

Le filtrage d’URL est la première barrière pour empêcher les utilisateurs d’aller sur :

des sites de téléchargement,

sur des sites de streaming

des proxies relais

Internet

Contrôle d’Applications Plus de 2300 signatures, 1800 applications uniques

Catégories Applications

Instant Messaging QQ; MSN; Yahoo; GoogleTalk

Mail Hotmail; Gmail; Yahoo; MS

Exchange

Web 2.0/Social Media Facebook; LinkedIn; Twitter

P2P Gnutella, Foxy, Winny;

Bittorrent; eMule

Remote Access Terminals TeamViewer; GoToMyPC

Database MS SQL; Oracle

File Transfer Peercast; Megaupload

Voice Over IP Skype

Streaming Media QuickTime; YouTube; Hulu

Network Management MS Update; Adobe; Norton;

McAfee

Tunnel (Web bypass

proxies)

Ultrasurf; Avoidr; Circumventor

Applications approuvées

Applications dangereuses

ou bloquées

Comment bloquer les logiciels qui tentent

de se cacher ?

Inspection du contenu HTTP encrypté via SSL

Une fois décrypté, le flux est identifié comme flux HTTP légitime

ou comme du flux applicatif encapsulé en SSL

INTERNET

Site Web Sécurisé

Firebox HTTPS Inspection

La connexion ssl

récupère le certificat du

site web

L’utilisateur tente

d’accéder le site web en

HTTPS

Importation du

certificat pour

l’inspection HTTPS

du Firewall dans le

navigateur de

l’utilisateur

Un nouveau certificat avec le

détails du site web est signé

avec la clef du Firewall

La connexion ssl est établie avec un

certificat web resigné par le firewall

Analyse de contenu HTTPS

Tous les équipements de sécurité n’ont

pas les mêmes capacités

Tous les équipements de sécurité ne filtrent pas les sites Web

Tous les équipements de sécurité ne filtre pas le contenu des

pages Web

Tous les équipements de sécurité n’inspectent pas les flux

cryptés

Tous les équipements de sécurité ne disposent pas forcément

de la granularité voulue au niveau de la politique de sécurité

Etc...

Authentification transparente :

Qui est qui?

Authentification automatique des utilisateurs de l’AD, pas

d’authentification manuelle des utilisateurs (et donc pas de risque de

fraude) – association adresse IP – nom d’utilisateur

Support de CITRIX et TSE

Utilisation d’un agent SSO pour donner les informations au Firewall de

manière automatique

Alice se logue

SSO Agent

Requête SSO

SSO Info

Utilisateur : Alice = IP 10.0.1.100

Alice autorisée sans avoir à s’identifier manuellement

Hadopi et les Botnets

L’entreprise a la responsabilité de se sécuriser et de

nettoyer son réseau des machines zombies

fournissant un partage ou des téléchargements

automatiques, avec les pénalités associées en cas

de manquement (les sanctions sont sur l’entreprise,

pas les employés)

Comment identifier un téléchargement d’un employé

par rapport à celui d’une machine Zombie? Ou tout

simplement… comment arriver à repérer les Botnets

qui sont de plus en plus perfectionnés ?!

Tracer les connexions en temps réel

Affichage du débit par connexion et détection des comportements

« louches »

Trouvez qui utilise trop la bande passante et qui télécharge peut être !

Projet de Spécifications Fonctionnelles HADOPI (SFH)

« Les journaux sécurisés doivent être archivés et conservés par le titulaire de l’abonnement pendant la

période d’une année »

Élément 1 : Observation en temps réel et sans enregistrement des flux et protocoles qui transitent par

l’accès ; sur la base de l’observation et de la politique de sécurité choisie, une ou plusieurs des actions

techniques suivantes peuvent s’appliquer : laisser faire ou bloquer (selon des critères définis dans le

présent document, et qui incluent notamment le type de flux ou protocoles, selon le protocole

applicatif, des listes1, des caractéristiques de formats, de débits, de volumes, des

profils d’utilisateurs, des plages horaires).

Élément 2 : Analyse optionnelle de la gestion de configuration informatique (ex : analyse statique de la

configuration de postes informatiques ; logiciels installés), analyse statique de la configuration réseau (ex :

analyse de la configuration routeur / boîtier ADSL) ; analyse dynamique des logiciels en fonctionnement, et

contrôle des utilisations par le titulaire de la connexion.

Élément 3 : Affichage de notifications et d’alertes pédagogiques (ex : « Vous allez télécharger un fichier en

utilisant le protocole pair à pair « nom du protocole » : voulez-vous continuer ? »).

Élément 4 : Double journalisation (version normale en clair et version sécurisée ; les deux versions sont

identiques, sauf si la version en clair est manipulée) des événements significatifs (ex : éléments de la vie

interne du moyen de sécurisation : démarrage, arrêt, activation, désactivation, modification des profils de sécurité,

etc. ;

Les éléments 1, 2 et 3 sont à la discrétion et dans les termes choisis par le titulaire. L’élément 4 est

obligatoire et s’opère automatiquement dès lors que le moyen de sécurisation est en

fonctionnement (même si les éléments 1, 2 et 3 ne sont pas activés).

Décret n° 2011-219 du 25 février 2011

Décret n° 2011-219 du 25 février 2011 relatif à la conservation et

à la communication des données permettant d'identifier toute

personne ayant contribué à la création d'un contenu mis en

ligne.

”La durée de conservation des données mentionnées à l’article 1er

est d’un an”

Les données que les personnes sont tenues de conserver en vertu de cette disposition, sont les

suivantes :

a) L’identifiant de la connexion ;

b) L’identifiant attribué par ces personnes à l’abonné ;

c) L’identifiant du terminal utilisé pour la connexion lorsqu’elles y ont accès ;

d) Les dates et heure de début et de fin de la connexion ;

e) Les caractéristiques de la ligne de l’abonné ;

http://www.legifrance.gouv.fr/affichTexte.do?cidTexte=JORFTEXT000023646013&categorieLien=id

Archivage des logs

L’Administrateur Réseau et Système consulte logs et

rapports

Le Firebox envoie ses logs chiffrés au

Serveur de Logs

Les Logs sont stockés dans une base SQL et archivés pour la durée

légale nécessaire

Serveur de Logs et Rapports

WatchGuard Log Server

Protocole propriétaire basé sur TCP (en mode connecté)

Automatiquement Chiffré

Mécanisme de backup

Alternative au standard de fait “Syslog” qui ne convient pas à cette fonction

Le WatchGuard Log Server est inclut en standard avec les produits WatchGuard

27

Logs are stored in a SQL Database

Log / Report Architecture

Firebox Log Server

Firebox connects to Log Server to

store the logs

Log Viewer

Report Manager Report Server

Automatic

Refresh of reports

Génération de rapports

28

+ de 50 rapports prédéfinis en standard : applications

web utilisées (par catégorie et applications), poste client

le plus actifs, IPS, traffic web, sites les plus populaires…

Les rapports deviennent une obligation pour s’assurer

du bon usage d’internet par ses utilisateurs

Un outil essentiel pour affiner la politique de sécurité

Rapports

Réponse Graduée

Ajustement de la charte d’entreprise

La Charte d’entreprise devra refléter les obligations

de l’entreprise vis-à-vis de cette loi

Quid de la Politique de sécurité en entreprise

Arriver à bloquer tous les types de trafic de type

téléchargement ou streaming va devenir un casse

tête pour les administrateurs

WatchGuard’s Best-In-Class Security Moving Security Forward

Protéger votre réseau en intégrant les meilleures technologies

de sécurité pour vous permettre de gérer les risques, et amélorier l’éfficacité.

XTM, XCS et VPN SSL

Une combinaison de solutions regroupées dans une seule appliance.

Résumé des Avantages :

Simple à installer et à administrer Productivité

améliorée

Moins de problèmes d’administration :

Appliance « tout-en-un » Couts d’exploitation faibles

Permet la mise en place de règles spécifiques

fonctionnalités d’audit et reporting en standard

Compliance

assurée

Les services LiveSecurity offre le Support Technique, les mises à jour mineures et ainsi que la garantie matérielle avec échange anticipé.

Retour sur Investissement maximisé

Merci !